브라우저 즐겨찾기 동기화는 장비를 여러 대 사용하는 현대인들에게 있어 매우 편리한 기능이다. 하지만 모든 편리한 기능은 해킹에도 편리하게 활용될 수 있고, 즐겨찾기도 그 중 하나라는 것이 입증됐다.
[보안뉴스 문가용 기자] 브라우저 즐겨찾기 목록을 동기화 하는 건 현존하는 거의 모든 인터넷 브라우저의 기본 기능이다. 이 기능 덕분에 인터넷 사용자들이 다양한 장비에서 편리하게 인터넷 서핑을 할 수 있게 된다. 그런데 이러한 유용한 기능이 사이버 범죄자들에게도 유용하다는 사실이 최근 밝혀졌다.
[이미지 = utoimage]
SANS 테크놀로지 인스티튜트(SANS Technology Institute)의 연구원인 데이비드 프리퍼(David Prefer)가 브라우저 즐겨찾기 목록의 동기화 기능이 가진 위험성을 처음 발견해 공개했는데, 프리퍼는 이 공격 기법에 브러글링(bruggling)이라는 이름을 붙였다. 브러글마크(Brugglemark)라는 이름의 파워셸 스크립트를 개념 증명용으로 개발해 함께 공개하기도 했다.
브러글링이라는 이름의 예술
“한 가지 강조해야 할 건, 이번에 제가 공개한 공격 기법은 취약점 익스플로잇과 전혀 관계가 없다는 겁니다. 즉 실험에 사용된 브라우저들이 취약하게 개발되었다거나 하는 문제를 제기하는 게 절대로 아닙니다. 다만 우리 모두가 너무나 익숙하게 사용해 온 즐겨찾기 기능이 가진 태생적 불안함을 나타내고 싶었습니다.” 프리퍼가 강조하는 설명이다.
또한 브러글링 공격 기법을 실제로 활용하려면 공격자가 이미 피해자의 환경에 원격에서든 근거리에서든 접근한 상태여야 한다. 즉 이번 공격이 최초 침투에까지 활용되기는 힘들다. “최초 침투에 성공했다면 미리 훔쳐두거나 크래킹 한 크리덴셜을 통해 피해자인 것처럼 로그인을 하고, 그 후에 즐겨찾기에 접근해 악용할 수 있게 됩니다.”
SANS 인스티튜트의 책임자인 요하네스 울리히(Johannes Ullrich)는 “간단히 말해 브러글링의 가장 큰 장점은 ‘스텔스’이며, 즐겨찾기를 통해 데이터를 유출시킨다 해도 탐지가 어렵다”고 말한다. “대부분의 호스트 기반 혹은 네트워크 기반 탐지 도구들을 피해갈 수 있습니다. 즐겨찾기를 남용하는 공격자의 트래픽은 거의 모든 탐지 도구의 눈에 정상적인 브라우저 동기화 트래픽으로 보이거든요.”
프리퍼는 브러글링이 실제 환경에서도 충분히 활용 가능한 공격 기법임을 강조했다. “특정 기업의 네트워크를 노려왔던 공격 그룹이 있다고 합시다. 그런 공격자들은 대부분 정찰을 위해서라도 이미 침투해 있을 가능성이 매우 높습니다. 최초 침투를 이뤄낸 경우가 대부분이죠. 그렇다면 네트워크 내에서 움직이면서 민감한 정보가 어디에 저장되어 있는지를 탐지했겠죠? 그럼 문제는 그 데이터를 들키지 않고 외부로 빼돌리는 것이 됩니다. 그럴 때 브러글링을 사용하면 매우 조용하게 정보들을 빼올 수 있게 됩니다.”
브러글링 기법 자체는 매우 간단하다고 프리퍼는 설명한다. “훔쳐낼 정보를 확보한 공격자라면 해당 데이터를 즐겨찾기 포맷으로 저장하면 됩니다. 저장된 데이터를 베이스64(base64) 알고리즘으로 변경하고, 적당한 텍스트 길이로 나눈 후, 각각의 텍스트들을 즐겨찾기 이름으로 등록한 후, 이걸 다른 장비에서 동기화시키면 해당 데이터를 조용해 빼돌릴 수 있게 됩니다.”
프리퍼는 수많은 브라우저들의 즐겨찾기 기능을 분석했고, 여러 시행착오를 거친 끝에 대부분의 브라우저들이 상당히 많은 종류의 문자와 숫자들을 한 개의 즐겨찾기에 저장할 수 있게 해 준다는 사실을 알아냈다. 즐겨찾기의 이름을 정하는 데 있어서 한계가 거의 없다고 할 만 하다는 것이다. 그는 ‘멋진 신세계’라는 책 전체를 이런 식으로 빼돌리는 실험을 했고, 대표적으로 크롬 브라우저의 경우 책 전체 텍스트를 ‘브러글링’ 하는 데에 59개의 즐겨찾기 슬롯이 필요하다는 결과를 얻어냈다. 다른 브라우저들의 경우 그 숫자가 크게 다르지 않을 것이라고 그는 보고 있다. 또한 동기화가 가능한 즐겨찾기의 숫자는 한 번에 20만 개 가까이 된다는 것도 알아냈다.
브라우저에 이렇게 즐겨찾기를 등록했다면, 공격자는 이제 다른 장비로 가서 해당 피해자의 크리덴셜로 로그인을 하고 동기화를 실시하면 된다. 그리고 즐겨찾기가 다 동기화 되면(이는 순식간에 끝난다고 한다) 텍스트를 모아 다시 베이스64 알고리즘으로 풀면 된다. “이는 브러글링 용례의 한 가지일 뿐입니다. 공격자가 창의적으로 생각하면 할수록 더 많은 공격 활용법이 생겨날 수 있을 거라고 봅니다.”
3줄 요약
1. 현대 브라우저에 있는 즐겨찾기 동기화 기능 통해 은밀한 정보 빼돌리기 가능.
2. 브라우저의 즐겨찾기 통해 소설 한 권 텍스트 정도는 간단히 외부로 유출할 수 있음.
3. 브라우저의 취약점은 아니지만, 공격자가 창의적으로 활용할 도구가 될 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 브라우저 즐겨찾기 목록을 동기화 하는 건 현존하는 거의 모든 인터넷 브라우저의 기본 기능이다. 이 기능 덕분에 인터넷 사용자들이 다양한 장비에서 편리하게 인터넷 서핑을 할 수 있게 된다. 그런데 이러한 유용한 기능이 사이버 범죄자들에게도 유용하다는 사실이 최근 밝혀졌다.
[이미지 = utoimage]
SANS 테크놀로지 인스티튜트(SANS Technology Institute)의 연구원인 데이비드 프리퍼(David Prefer)가 브라우저 즐겨찾기 목록의 동기화 기능이 가진 위험성을 처음 발견해 공개했는데, 프리퍼는 이 공격 기법에 브러글링(bruggling)이라는 이름을 붙였다. 브러글마크(Brugglemark)라는 이름의 파워셸 스크립트를 개념 증명용으로 개발해 함께 공개하기도 했다.
브러글링이라는 이름의 예술
“한 가지 강조해야 할 건, 이번에 제가 공개한 공격 기법은 취약점 익스플로잇과 전혀 관계가 없다는 겁니다. 즉 실험에 사용된 브라우저들이 취약하게 개발되었다거나 하는 문제를 제기하는 게 절대로 아닙니다. 다만 우리 모두가 너무나 익숙하게 사용해 온 즐겨찾기 기능이 가진 태생적 불안함을 나타내고 싶었습니다.” 프리퍼가 강조하는 설명이다.
또한 브러글링 공격 기법을 실제로 활용하려면 공격자가 이미 피해자의 환경에 원격에서든 근거리에서든 접근한 상태여야 한다. 즉 이번 공격이 최초 침투에까지 활용되기는 힘들다. “최초 침투에 성공했다면 미리 훔쳐두거나 크래킹 한 크리덴셜을 통해 피해자인 것처럼 로그인을 하고, 그 후에 즐겨찾기에 접근해 악용할 수 있게 됩니다.”
SANS 인스티튜트의 책임자인 요하네스 울리히(Johannes Ullrich)는 “간단히 말해 브러글링의 가장 큰 장점은 ‘스텔스’이며, 즐겨찾기를 통해 데이터를 유출시킨다 해도 탐지가 어렵다”고 말한다. “대부분의 호스트 기반 혹은 네트워크 기반 탐지 도구들을 피해갈 수 있습니다. 즐겨찾기를 남용하는 공격자의 트래픽은 거의 모든 탐지 도구의 눈에 정상적인 브라우저 동기화 트래픽으로 보이거든요.”
프리퍼는 브러글링이 실제 환경에서도 충분히 활용 가능한 공격 기법임을 강조했다. “특정 기업의 네트워크를 노려왔던 공격 그룹이 있다고 합시다. 그런 공격자들은 대부분 정찰을 위해서라도 이미 침투해 있을 가능성이 매우 높습니다. 최초 침투를 이뤄낸 경우가 대부분이죠. 그렇다면 네트워크 내에서 움직이면서 민감한 정보가 어디에 저장되어 있는지를 탐지했겠죠? 그럼 문제는 그 데이터를 들키지 않고 외부로 빼돌리는 것이 됩니다. 그럴 때 브러글링을 사용하면 매우 조용하게 정보들을 빼올 수 있게 됩니다.”
브러글링 기법 자체는 매우 간단하다고 프리퍼는 설명한다. “훔쳐낼 정보를 확보한 공격자라면 해당 데이터를 즐겨찾기 포맷으로 저장하면 됩니다. 저장된 데이터를 베이스64(base64) 알고리즘으로 변경하고, 적당한 텍스트 길이로 나눈 후, 각각의 텍스트들을 즐겨찾기 이름으로 등록한 후, 이걸 다른 장비에서 동기화시키면 해당 데이터를 조용해 빼돌릴 수 있게 됩니다.”
프리퍼는 수많은 브라우저들의 즐겨찾기 기능을 분석했고, 여러 시행착오를 거친 끝에 대부분의 브라우저들이 상당히 많은 종류의 문자와 숫자들을 한 개의 즐겨찾기에 저장할 수 있게 해 준다는 사실을 알아냈다. 즐겨찾기의 이름을 정하는 데 있어서 한계가 거의 없다고 할 만 하다는 것이다. 그는 ‘멋진 신세계’라는 책 전체를 이런 식으로 빼돌리는 실험을 했고, 대표적으로 크롬 브라우저의 경우 책 전체 텍스트를 ‘브러글링’ 하는 데에 59개의 즐겨찾기 슬롯이 필요하다는 결과를 얻어냈다. 다른 브라우저들의 경우 그 숫자가 크게 다르지 않을 것이라고 그는 보고 있다. 또한 동기화가 가능한 즐겨찾기의 숫자는 한 번에 20만 개 가까이 된다는 것도 알아냈다.
브라우저에 이렇게 즐겨찾기를 등록했다면, 공격자는 이제 다른 장비로 가서 해당 피해자의 크리덴셜로 로그인을 하고 동기화를 실시하면 된다. 그리고 즐겨찾기가 다 동기화 되면(이는 순식간에 끝난다고 한다) 텍스트를 모아 다시 베이스64 알고리즘으로 풀면 된다. “이는 브러글링 용례의 한 가지일 뿐입니다. 공격자가 창의적으로 생각하면 할수록 더 많은 공격 활용법이 생겨날 수 있을 거라고 봅니다.”
3줄 요약
1. 현대 브라우저에 있는 즐겨찾기 동기화 기능 통해 은밀한 정보 빼돌리기 가능.
2. 브라우저의 즐겨찾기 통해 소설 한 권 텍스트 정도는 간단히 외부로 유출할 수 있음.
3. 브라우저의 취약점은 아니지만, 공격자가 창의적으로 활용할 도구가 될 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
